某公司韶關城建局城域網(wǎng)解決方案

1、韶關城建建局城域域網(wǎng)解決決方案湖南計算算機股份份有限公公司20022.6網(wǎng)絡設計計目標 ：韶關城建建局計算算機網(wǎng)絡絡信息平平臺是要要利用當當前先進進的計算算機網(wǎng)絡絡技術，在總體體規(guī)劃的的前提下下，將韶韶關城建建局的所所有網(wǎng)絡絡資源互互聯(lián)起來來，進行行合理的的利用、配置和和共享，充分體體現(xiàn)計算算機網(wǎng)絡絡技術所所帶來的的先進、高效、快捷的的特性。我們建設設“韶關城城建局計計算機網(wǎng)網(wǎng)絡”的總體體目標應應定位在在：利用計算算機網(wǎng)絡絡和數(shù)據(jù)據(jù)庫等現(xiàn)現(xiàn)代化網(wǎng)網(wǎng)絡技術術將城建建局各個個部門的的數(shù)據(jù)有有機地集集成起來來，綜合合運用現(xiàn)現(xiàn)代管理理技術、信息技技術、自自動化和和系統(tǒng)工工程技術術，以實實現(xiàn)城建建局的整

2、整體優(yōu)化化，顯著著提高城城建局的的經(jīng)濟效效益和社社會效益益；并聯(lián)聯(lián)入因特特網(wǎng)，和和世界信信息共享享。將新新一代智智能大廈廈辦公網(wǎng)絡絡設計理理念和城城建局行行業(yè)應用用的特點點緊密結結合起來來，建成成新一代代的智能能大廈辦辦公網(wǎng)絡絡的典范范。二、網(wǎng)絡絡設計要要求：根據(jù)城建建局行業(yè)業(yè)應用的的需求分分析及其其對網(wǎng)絡絡的要求求，網(wǎng)絡絡設計遵遵循以高高性能、高可靠靠、高度度安全、和先進進的服務務質量（QoSS）為核心心的設計計要新一一代智能能大廈網(wǎng)網(wǎng)絡主導導技術的設設計思想想。三、網(wǎng)絡絡邏輯設設計：網(wǎng)絡邏輯輯設計融融合了網(wǎng)網(wǎng)絡層次次設計，拓撲設設計，IIP子網(wǎng)網(wǎng)設計。建立一一個以韶韶關市城城建局為為中心，

3、以下八八縣三區(qū)區(qū)城建分分局及三三個單位位子網(wǎng)子子節(jié)點的的內部網(wǎng)網(wǎng)，并為為今后開開辟IPP語音等等增值服服務奠定定了良好好的基礎礎。韶關市城城建局網(wǎng)網(wǎng)絡中心心通過韶韶關電信信接入DDDN網(wǎng)網(wǎng)，通過過DDNN專線與與各城建建分局相相連。內內部網(wǎng)只只在市城城建局網(wǎng)網(wǎng)絡中心心設置1163及及1699電信網(wǎng)網(wǎng)出口，所有子子節(jié)點都都通過市市城建局局網(wǎng)絡中中心的出出口訪問問Intternnet或或1699網(wǎng)。在在各子節(jié)節(jié)點設置置撥號服服務器，提供撥撥號接入入服務。在各子子節(jié)點所所在范圍圍內可以以直接撥撥號訪問問內部網(wǎng)網(wǎng)并通過過內部網(wǎng)網(wǎng)訪問IInteerneet。員員工出差差到下級級地區(qū)，可直接接撥入就就近地

4、區(qū)區(qū)的撥號號服務器器，或使使用VPPN（虛虛擬私有有專網(wǎng)）服務來來訪問城城建局內內部網(wǎng)。在韶關市市城建局局的局域域網(wǎng)需支支持近1100個個用戶，因此采采用了HHDS555244F交換換機以及及HDSS45224為用用戶提供供1000MB的的接入帶帶寬，利利用HDDS55524FF的1000MBB端口連連接中心心路由器器Cissco336200，及連連接隔離離內外網(wǎng)網(wǎng)方正方方御防火火墻FGG-FWW；在中中心路由由器Ciiscoo 36620上上配置了了一塊NNM-88A/SS模塊為為各分支支節(jié)點提提供了可可達1228K的的DDNN的接入入端口；在與1163和和1699網(wǎng)連接接時，考考慮到系系統(tǒng)

5、高安安全性的的要求，選用了了方正方方御防火火墻FGG-FWW，安全全有效隔隔離了內內網(wǎng)和外外網(wǎng)。8縣3區(qū)區(qū)等分支支節(jié)點考考慮到投投資成本本及將來來內部IIP電話話的發(fā)展展，選用用了支持持語音功功能的CCiscco 226111路由器器，通過過64KK或1228K DDNN專線與與總部連連接。網(wǎng)絡邏輯輯設計融融合了網(wǎng)網(wǎng)絡層次次設計，拓撲設設計，IIP子網(wǎng)網(wǎng)設計。層次設計計網(wǎng)絡層次次設計上上通常分分為三層層結構，即核心心層、分分布層、接入層層。城建建局網(wǎng)絡絡結點分分布在44個區(qū)域域：1、4、55樓辦公公區(qū)、6、77樓辦公公區(qū)、88、9樓樓辦公區(qū)區(qū)、8縣縣3區(qū)城城建分局局和3個個單位子子網(wǎng)，根根據(jù)各

6、區(qū)區(qū)域應用用的不同同要求，采用了了相應的的層次設設計。參參照網(wǎng)絡絡總體設設計圖, 整個個網(wǎng)絡層層次設計計具體如如下所述述：路由器：Cissco 36220路由由器從設設計之初初就將高高性能、靈活性性和優(yōu)異異的性能能價格比比考慮在在內，因因此是特特別適合合韶關市市城建局局網(wǎng)絡的的多功能能分支機機構之間間實現(xiàn)網(wǎng)網(wǎng)絡互連連的。CCiscco36620底底板具有有80MMHz主主頻的RR47000 RRISCC處理器器，吞吐吐量為220440 KKppss（萬信信息包）。其模模塊化的的設計思思想使得得Cissco336200在分支支辦公室室路由選選擇，多多業(yè)務語語音/視視頻/數(shù)數(shù)據(jù)集成成，ISSDN撥

7、撥號訪問問，VLLAN間間路由選選擇，SSNA集集成和WWAN業(yè)業(yè)務集中中等方面面均有所所長，在在中望網(wǎng)網(wǎng)實施中中，正是是通過添添加了NNM-88A/SS模塊，為各地地分公司司提供了了1288KDDDN的接接入服務務，并為為將來的的IP語語音提供供了可靠靠的基礎礎。Ciscco 336200路由器器劃時代代地將撥撥號訪問問，LAANLLAN路路由用于于網(wǎng)絡多多媒體應應用、傳傳統(tǒng)通訊訊支持和和預期未未來技術術（如數(shù)數(shù)字用戶戶線路xxDSLL和語音音/視頻頻/數(shù)據(jù)據(jù)集成網(wǎng)網(wǎng)絡）三三方面的的集成中中，過去去用戶必必須至少少購買三三種設備備才能滿滿足要求求，現(xiàn)在在Cissco336200將三種種功能集

8、集成到一一個平臺臺上。無無疑地，中望網(wǎng)網(wǎng)因此將將在可靠靠性、管管理性、靈活性性和性能能價格比比方面具具有顯著著的優(yōu)勢勢。Ciscco26611路路由器是是Cissco專專為遠程程分支機機構提供供的具有有更高靈靈活性和和投資保保護的接接入設備備。在多多業(yè)務語語音/視視頻/數(shù)數(shù)據(jù)集成成，部門門撥號服服務，VVPN接接入等方方面具有有優(yōu)異性性能，是是Cissco語語音/視視頻/數(shù)數(shù)據(jù)集成成策略的的關鍵部部分之一一，提供供業(yè)內最最大范圍圍的基于于IP的的端到端端信息包包電話網(wǎng)網(wǎng)關解決決方案。Cissco226111有兩個個LANN接口，兩個WWAN接接口，一一個高密密度Ciiscoo網(wǎng)絡模模塊槽和和一

9、個AAIM槽槽。在多多業(yè)務集集成方面面，Ciiscoo26111安裝裝Cissco話話音/傳傳真模塊塊后就能能提供與與眾不同同的數(shù)據(jù)據(jù)和語音音服務質質量；226111還支持持現(xiàn)場升升級，可可以很容容易地改改變網(wǎng)絡絡接口而而不必對對整個遠遠程分支支機構解解決方案案進行全全面升級級，這對對于中望望公司不不斷擴大大的各地地分公司司來說尤尤為適用用；26611還還提供冗冗余電源源（RPPS），以便在在主鏈路路出現(xiàn)故故障時自自動恢復復數(shù)據(jù)和和話音服服務。Ciscco 336200和26611具具有相同同的管理理界面，都可以以通過CCiscco著名名的IOOS軟件件進行管管理，包包括RSSVP網(wǎng)網(wǎng)絡資源源

10、預備協(xié)協(xié)議，策策略路由由，IPP優(yōu)先級級，WRRED加加權隨機機早期檢檢測，WWFQ加加權公平平隊列，CARR限制訪訪問速率率，通信信流量管管理-NettFloow交換換和數(shù)據(jù)據(jù)輸出，擴展訪訪問控制制列表（擴展AACL），分布布式交換換和服務務，標志志交換等等關鍵技技術的使使用，充充分保障障了內部部網(wǎng)IPP服務質質量（IIPQooS）。核心層：采用一一臺智能能網(wǎng)管型型二層交交換機HHDS555244F。為為保證服服務器的的高數(shù)據(jù)據(jù)傳輸率率，直接接以1000M端端口與各各服務器器相聯(lián)，使下級級工作站站的大量量訪問數(shù)數(shù)據(jù)得以以暢通無無阻；99.6GG的背板板帶寬，充分保保證網(wǎng)絡絡的高速速性，避避免

11、網(wǎng)絡絡瓶頸的的出現(xiàn)；具有有廣播風風暴控制制；第二二層線速速交換。辦公區(qū)接接入層：采用HHDS445244，100M/1100MM的用戶戶端口，并并提供標標準完善善的管理理功能。HDSS45224系列列交換機機支持基基于端口口的VLLAN，使各部部門的局局域自成成體系，增強安安全性并并隔離了了廣播風風暴。遠程接入入用戶：采用CCiscco 226111路由器器，通過過DDNN連接市市城建局局網(wǎng)絡中中心Ciiscoo 36620路路由器。2.網(wǎng)絡絡拓撲 參照網(wǎng)絡絡總體設設計圖：2. IP子子網(wǎng)設計計根據(jù)城建建局網(wǎng)絡絡系統(tǒng)的的區(qū)域特特點，IP子子網(wǎng)設計計中將每每個業(yè)務務部門劃劃分為一一個IPP子網(wǎng)，

12、各部門門服務器器劃分到到相應的的子網(wǎng)，共享服服務器采采用基于于IP子子網(wǎng)的VVLANN方式映映射到相相應的多多個子網(wǎng)網(wǎng)中。不不同子網(wǎng)網(wǎng)之間 的通訊訊通過基基于策略略的路由由和訪問問控制來來實現(xiàn)。3. 流量設設計根據(jù)業(yè)務務流量分分析，在在流量設設計上采采用負載載均衡和和帶寬匹匹配的原原則。服務器組組與核心心交換機機通過兩條條全雙工工百兆鏈路路互連，實現(xiàn)全全雙工4400MMbpss負載均均衡的高高速可靠靠的傳輸輸通道，構成網(wǎng)網(wǎng)絡的高高速主干干。分布布層結點點、通過11條全雙雙工百兆鏈路路連接到到核心層層結點，保2000Mbbps的的高速可可靠傳輸輸。用戶端提提供靈活活的100M或1100MM自適應

13、應的接入入方式。4網(wǎng)絡絡安全設設計從今后長長遠的網(wǎng)網(wǎng)絡可靠靠性角度度來說，網(wǎng)絡安安全性必必將成為為系統(tǒng)安安全運行行和內部部資源保保護的一一種重要要手段。這一點點，在信信息中尤尤顯得更更加重要要，因此此，網(wǎng)絡絡安全的的手段應應主要包包括：1、訪問問控制，2、用用戶認證證，3、入入侵檢測測，4、內內容審查查，5、病病毒防范范6、防火火墻設置置防火墻：采用方方正方御御防火墻墻FG-FW。利用防防火墻隔隔斷內網(wǎng)網(wǎng)與外網(wǎng)網(wǎng)，統(tǒng)一一部署安安全策略略，為內內網(wǎng)設備備與數(shù)據(jù)據(jù)信息提提供安全全保障；利用入入侵檢測測實現(xiàn)發(fā)發(fā)現(xiàn)攻擊擊企圖，為內部部提供更更多的可可了解信信息；利利用掃描描器對自自己的網(wǎng)網(wǎng)絡進行行安全

14、掃掃描，評評估內部部風險，并定期期維護內內網(wǎng)安全全。FGG10000M是是一款基基于包過過濾的防防火墻，除了防防火墻功功能外，還集成成了許多多有價值值的網(wǎng)絡絡安全工工具，主主要包括括：入侵侵檢測系系統(tǒng)（IIDS），虛擬擬局域網(wǎng)網(wǎng)支持（VLAAN），路由選選擇協(xié)議議控制，網(wǎng)絡地地址轉換換（NAAT），雙機熱熱備，完完備的審審計功能能，完善善的訪問問控制等等，如下下圖：（具體技技術參數(shù)數(shù)見方方正方御御千兆防防火墻白白皮書）防殺病毒毒：采KKILLL 1000 UUSE PACCK。實實時查殺殺所有病病毒（先先進的技技術、全球化的的病毒檢檢測機構構）不影影響系統(tǒng)統(tǒng)性能（網(wǎng)絡效效能、兼兼容性）全面、安

15、全、靈活的的管理及及升級方方式，本地化化的服務務和支持持。同時時采用層層設防防、集中中控制、以防為為主、防防殺結合合的防病病毒策略略。見下下圖：詳見：KIILL安安全胄甲甲解決方方案四、方案案論證：高可靠性性為了防止止局部故故障引起起整個網(wǎng)網(wǎng)絡系統(tǒng)統(tǒng)的癱瘓瘓，要避避免網(wǎng)絡絡出現(xiàn)單單點失效效。在網(wǎng)網(wǎng)絡骨干干上要提提供備份份鏈路，提供冗冗余路由由。在網(wǎng)網(wǎng)絡設備備上要提提供冗余余配置，保證把把局部故故障對網(wǎng)網(wǎng)絡的影影響降低低到最小小。主干網(wǎng)的的設計和和選用的的設備均均具有很很高的可可靠性與與可用性性，具體體表現(xiàn)在在： 充分分保證骨骨干網(wǎng)上上在核心心交換機機HDSS55224F及及其電源源模塊、千兆交

16、交換模塊塊不存在在單點失失敗； 接入入交換機機HDSS45224F及及其電源源模塊/百兆交換換模塊不不存在單單點失敗敗； HDDS55524FF和HDDS45524之之間的百百兆光纖纖鏈路不不存在單單點失敗??；高效性為了及時時、迅速速地處理理網(wǎng)絡上上傳送的的數(shù)據(jù)、語音和和視頻，網(wǎng)絡設設備必須須具備高高速處理理能力，提供高高速數(shù)據(jù)據(jù)鏈路，保證網(wǎng)網(wǎng)絡高吞吞吐能力力，滿足足各種應應用（如如：圖文文發(fā)送和和視頻會會議系統(tǒng)統(tǒng)）對網(wǎng)網(wǎng)絡帶寬寬的需求求；主干交換換機采用用基于AASICC分布式式處理的的體系結結構，充充分保證證了線速轉發(fā)發(fā)提高性性能，消消除集中中式處理理的瓶頸頸難題。主干網(wǎng)的的高容量量，主干

17、干網(wǎng)為全全連接的的結構，提供了了9.66Gbpps的主主干背板板容量和和1000Mbpps鏈路路帶寬。高度安全全性為了保護護用戶在在網(wǎng)絡上上數(shù)據(jù)的的安全可可靠，必必須提供供多種方方式和層層次的訪訪問控制制，通過過使用VVLANN、包過過濾及防防火墻等等技術保保證數(shù)據(jù)據(jù)的安全全傳輸。方案中提提供多種種方式和和層次的的訪問控控制安全全機制，可進行行端到端端的安全全性控制制。主要要包括： VLLAN的的劃分在在縮小廣廣播域規(guī)規(guī)模的同同時，提提供了局局域網(wǎng)的的安全控控制；HDDS的包包過濾功功能非常常強大，在每個個以太端端口上均均可加載載輸入輸輸出過濾濾器，每每個過濾濾器通過過深層過過濾監(jiān)測測數(shù)據(jù)包包

18、 為了了保護用用戶在網(wǎng)網(wǎng)絡上數(shù)數(shù)據(jù)的安安全可靠靠，必須須提供多多種方式式和層次次的訪問問控制，通過使使用VLLAN、包過濾濾及防火火墻等技技術保證證數(shù)據(jù)的的安全傳傳輸。先進的QQoS辦公大樓樓網(wǎng)絡提提供了一一個綜合合的辦公公網(wǎng)絡平平臺來承承載圖像像、語音音和數(shù)據(jù)據(jù)業(yè)務，因此提提供先進進的QooS機制制是必不不可少的的。通過過實現(xiàn)QQoS, 可以以充分保保證圖像像、語音音等應用用有較高高的帶寬寬和較小小的延遲遲。湖南計算算機股份份有限公公司網(wǎng)絡絡通信及及安全事事業(yè)部的的解決方方案可以以通過對對優(yōu)先級級隊列、IPMMultticaast優(yōu)優(yōu)化(IIGMPP/DVVMRPP)的支支持保證證在千兆兆位

19、以太太網(wǎng)環(huán)境境中對多多媒體應應用的支支持。例例如使用用IPMMultticaast技技術和VVideeoSeerveer可以以在整個個骨干網(wǎng)網(wǎng)中播放放MPEEG-11或MPPEG-2圖像像，并可可以在不不引入大大量廣播播數(shù)據(jù)包包的情況況下完成成骨干網(wǎng)網(wǎng)內部的的視頻廣廣播。多多點廣播播隊列還還可以防防止擁塞塞，在高高負荷的的情況下下保持性性能。此此外，單單點廣播播隊列和和多點廣廣播隊列列可以在在繁忙的的網(wǎng)絡環(huán)環(huán)境中提提供低延延時信道道，保證證時延敏敏感的多多媒體應應用的正正常運行行。在HDSS中還支支持8個個優(yōu)先級級隊列，并且可可以根據(jù)據(jù)數(shù)據(jù)包包的端口口、MAAC地址址、VLLAN、IP流流進行優(yōu)優(yōu)先級的的劃分，使視頻頻、語音音等應用用有較高高的優(yōu)先先級，以以保證其其帶寬和和時延要要求。五、方案案特色 1. 韶韶關城建建局網(wǎng)絡絡核心骨骨干網(wǎng)采